Software Libre

Importancia del software libre y el código abierto en criptografía IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana, 12 de febrero de 2009 Jorge Ramió Aguirre Universidad Politécnica de Madrid Red Temática CriptoRed

Software libre versus código abierto ¿Qué es software libre? Software que brinda libertad a los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Las cuatro libertades de los usuarios del software: Libertad para usar el programa, con cualquier propósito. Libertad para estudiar el funcionamiento del programa y adaptarlo a las necesidades. (*) Libertad para distribuir copias y así ayudar a otros. Libertad para mejorar el programa y hacer públicas estas mejoras, para beneficio de toda comunidad. (*) (*) Para ello es necesario el acceso al código fuente. Ref.: Free Software Foundation, Wikipedia IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Software libre versus código abierto, y 2 ¿Qué es código abierto, open source ? Software distribuido y desarrollado libremente, usado por primera vez en 1998 por algunos usuarios de la comunidad del software libre, tratando de usarlo como reemplazo al ambiguo nombre original en inglés del software libre (free software). El término continúa siendo ambivalente, puesto que se usa en la actualidad por parte de programadores que no ofrecen software libre pero, en cambio, sí ofrecen las fuentes o código de los programas para su revisión o modificación previamente autorizada por parte de sus pares académicos. Ref.: Wikipedia IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información. La Habana 2009

Reflexiones sobre estas definiciones El usuario es libre. La libertad sobre el programa es la diferencia fundamental entre free software y open source. La existencia o no de derechos. Open source : El código de un programa debe ser abierto y libremente distribuido. No hace mención sobre qué derechos tiene el usuario para reutilizar o modificar ese código. El código puede estar completamente exento de derechos o estar restringido por derechos reservados por el autor. Free software : Programa que cumple la licencia GNU GPL. Introduce un aspecto más ético y filosófico al tema, obligando a que el código tenga total libertad de uso, estudio, distribución y modificación (las cuatro libertades del software libre). IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Reflexiones sobre estas definiciones Todo código GPL cumple las condiciones open source, pero no todo el open source cumple las condiciones del software libre. El open source está siendo adoptado por las empresas, puesto que les resulta bastante más atractivo que el software libre. Por último, no confundir free software con freeware . Este último es libre (free) en cuanto no cuesta dinero, se distribuye gratuitamente, pero no por ello necesariamente debe estar su código abierto ni se puede por tanto modificarse. Por ejemplo el software de laboratorio de criptografía que usaré en esta presentación (FlujoLab) es freeware pero el código no puede ser abierto (aunque se quiera) por razones de derechos de los trabajos hechos por alumnos en la UPM. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Importancia del código abierto en criptografía Una máxima en criptografía: Dudar siempre de cualquier programa del que sólo se conozca el ejecutable y no el código fuente. ¿Por qué? He aquí una duda razonable … El software que ejecutamos, ¿está verdaderamente haciendo lo nos dice que hace? ¿Por qué la paranoia sólo en este campo? Porque muchos programas realizan operaciones que no podemos considerar como muy habituales: un borrado físico del disco, generar claves, enmascarar contraseñas, etc. Veamos 3 ejemplos en la criptografía moderna. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

El caso de la versión 7.0.3 de PGP ¿Qué sucede con esta versión del año 2000? Network Associates Inc. decide “cerrar” el código. ¿Qué produce esta reacción? El resultado inmediato es la desconfianza de los usuarios ante la “calidad” de ambos productos. Baja su popularidad: fracaso comercial. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009 Pretty Good Privacy: Programa muy popular de Philip Zimmermann para correo seguro con versiones de pago y freeware.

La opción de PGP en software libre Hace las mismas cosas que PGP pero… Ejemplos in situ de: Borrado físico de archivos con ambos programas. Activación del efecto Tempest en PGP. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009 GnuPG: Software libre de entorno Linux que ha dado el salto a Windows con Gpg4win.

El caso del algoritmo A5 en telefonía móvil Algoritmo A5: Es propietario de GSM y fue diseñado en el año 1994. Dos versiones A5/1 (fuerte) para Europa y A5/2 (débil) para exportación. El código no era público. ¿Para qué sirve este algoritmo? El uso habitual de este algoritmo está en el cifrado del enlace entre el abonado y la central de un teléfono móvil (celular) tipo GSM. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información. La Habana 2009

Ataque al algoritmo A5 Situación: Cerca de 130 millones de usuarios en Europa y otros 100 millones de usuarios en el resto del mundo en 1999. El sistema A5/1 sucumbe en diciembre de 1999 tras un ataque realizado por Alex Biryukov, Adi Shamir y David Wagner. Se ataca mediante uso de ingeniería inversa. Se comprueba la baja calidad en el diseño. Demostración de las operaciones del algoritmo A5 y sus registros con software de laboratorio. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Resultados del ataque al algoritmo A5 El período T de repetición de la clave viene dado por el mínimo común múltiplo de los tres períodos individuales de cada LFSR: T = mcm (2 n1 - 1, 2 n2 - 1, 2 n3 - 1) Como n 1 , n 2 y n 3 son primos entre sí, también lo serán los valores de los periodos (2 n1 -1), (2 n2 - 1) y (2 n3 - 1). Luego el período T será: T = T 1  T 2  T 3 T = (2 19 -1)(2 22 -1)(2 23 -1) = 524.287  4.194.303  8.388.607 T = 18.446.702.292.280.803.327 < 2 64 Un valor demasiado bajo para 1999 en que ya se rompe DES. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

La paranoia del algoritmo de cifra SkipJack Situación: Desarrollado a finales de los años 80 por la NSA, National Security Agency, estaba contenido en los chips Clipper y Capstone, con implementación sólo permitida en hardware. Los usuarios depositaban sus claves secretas en diversas agencias de gobierno: concepto de key scrow . La propia clave de cifra se cifraba con dos claves. Los detalles del algoritmo son secretos; se desclasifica en 1998. Características: imposición de los EEUU para comunicaciones con la administración. Tiene una puerta trasera que puede dejar en claro la cifra. Los Estados Unidos pensaban usarlo en su DMS, Defense Messaging System. Fue duramente criticado, especialmente a nivel social. Tras esto aparece el AES… estándar en 2001. ¿Llega la calma? IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Otros casos similares en la historia Alan Turing Jamás se le reconoció el mérito de haber inventado las bombas de Turing y ayudar a los aliados a ganar la guerra a los nazis. Símbolo de la manzana. Clifford Coks Verdadero descubridor del sistema RSA (5 años antes) pero no lo patenta al ser una investigación secreta del GCHQ. La NSA contra los descubridores de la criptografía de clave pública. Limitaciones a las exportaciones en USA. Tratados de Guerra Fría. La paranoia cambia de escenario: La NSA pierde la guerra de la criptografía libre y se plantea otra forma de actuar: la seguridad gracias a la ocultación no sirve de nada. Organismo que más matemáticos contrata. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Conclusiones La criptografía, en su calidad de herramienta para la ocultación de información sensible, tiene como máxima que su código fuente sea abierto puesto que un alto número de sus funciones suelen ser críticas. Si nos encontramos con un código cerrado o propietario, difícilmente podríamos asegurar que tal o cual programa está efectivamente realizando la operación que se supone indica que realiza. Este aparente estado de paranoia tecnológica justificada en muchos casos como se ha visto, es bastante común cuando se habla de software criptográfico. En la conferencia se han analizado sólo 3 casos reales de la criptografía moderna, pero hechos similares se vienen repitiendo durante toda la historia del hombre. IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Bibliografía y referencias 1 Software libre http://es.wikipedia.org/wiki/C%C3%B3digo_libre Blog de Ricardo Galli http://mnm.uib.es/gallir/posts/2005/01/19/95/ Código abierto http://es.wikipedia.org/wiki/C%C3%B3digo_abierto Definiciones de GNU http://www.gnu.org/philosophy/free-software-for-freedom.html El problema del código cerrado en PGP http://mailman.argo.es/pipermail/hacking/2001-May/000371.html Ataque al algoritmo A5 http://cryptome.info/0001/a51-bsw/a51-bsw.htm Algoritmo Skipjack http://www.austinlinks.com/Crypto/skipjack-review.html IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009

Bibliografía y referencias 2 Alan Turing http://www.turing.org.uk/turing/ Clifford Cocks http://mnm.uib.es/gallir/posts/2005/01/19/95/ Libro Cripto, Steven Levy http://es.wikipedia.org/wiki/C%C3%B3digo_abierto Tratado Wassenaar http://www.wassenaar.org/ Leyes de exportación de la criptografía http://www.votoelectronico.es/legislacion/Legislacion%20criptografia.pdf Philip Zimmermann http://www.philzimmermann.com/ES/background/index.html NSA http://www.nsa.gov/ IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información, La Habana 2009 Fin

Software Libre

Más contenido relacionado

Similar a Software Libre (20)

Último (20)

Software Libre